De cybercriminelen die verantwoordelijk zijn voor het verspreiden van Locky, een van de meest gebruikte ransomwareplagen van dit jaar, schijnt een nieuwe campagne gestart te zijn met een aantal concrete verschillenden in hun afpersingspraktijken. De nieuwe opvolger genaamd Bart ransomware is nu actief en opereert momenteel met behulp van de nieuwe versie van Locky. Bart voegt de waardevolle bestanden van zijn slachtoffers toe aan ZIP-archieven die niet kunnen worden geopend, tenzij de gebruiker het juiste wachtwoord heeft om de archieven te ontgrendelen. De vernieuwde versie van de beruchte Trojan, koppelt de .zepto-extensie op zijn eurt aan de gecodeerde objecten.
Deze reïncarnatie van Locky vervuilt Windows-computers door middel van spam met een besmette lader, wat eigenlijk een versluierde JavaScript-eenheid is. Uiteraard zijn de auteurs overgestapt naar een ander botnet nadat hun vorige campagne enkele maanden geleden begon af te nemen. Het proces hiervan lijkt op hetgeen zoals voorheen: een nietsvermoedende gebruiker ontvangt een opvallende e-mail dat hem of haar aanmoedigt om de schadelijke bijlage te openen. De uitvoering van de ransomware wordt op zo’n manier gedaan dat het slachtoffer alleen de nasleep op zal merken.
Het programma in kwestie kijkt stilletjes naar de persoonlijke bestanden, op de lokale en verwijderbare schijven van de machine, evenals gekoppelde netwerkpaden. Als de lijst eenmaal klaar is, gebruikt de Trojan de AES-128-codering om elk bestand te versleutelen en past daarna het asymmetrische RSA-2048-cryptosysteem toe om de geheime decoderingssleutel te coderen.
_HELP_instructions.bmp
Als de complexe gegevensversleuteling eenmaal is uitgevoerd, zorgt de kwaal ervoor dat bestandsnamen niet te onderscheiden zijn en voegen ze de .zepto-bestandsextensoe toe aan elk ervan. Als gevolg hiervan krijgt een willekeurig gegevensbestand een naam die lijkt op D7F6EEBA-D9FC508E-0B2C-82EED365C05D.zepto. Het verandert ook het Windows-bureaubladafbeelding naar _HELP_instructions.bmp en maakt een nieuw bestand genaamd _HELP_instructions.html aan binnen elke versleutelde map, evenals op het bureaublad zelf. Er zijn losgeldinstructies die de persoonlijke identificatie-ID van het slachtoffer bevatten, meerdere TOR-links om de privé-sleutel te ontvangen en het volgende waarschuwingsbericht: “Al je bestanden zijn versleuteld met RSA-2048 en AES-128-coderingen”. De daders zeggen ook dat het “Decoderen van al je bestanden alleen mogelijk is met de privé-sleutel en decodeerprogramma, welke zich op onze geheime server bevinden”.
.zepto bestandsextensie
Wanneer het slachtoffer een van de TOR-gateways volgt in het document _HELP_instructions.html (.bmp), komen zij terecht op “Locky Decryption Page” – de decodeerpagina van Locky. De pagina is speciaal ontworpen voor het versturen van betalingen naar een uniek Bitcoin-adres en voor het downloaden van de decrypter. Het losgeld dat de criminelen eisen voor het herstel, komt neer op 0,5 Bitcoin, ofwel zo’n 300 dollar. Wanneer een groot ondernemingsnetwerk slachtoffer wordt van deze ransomware, zal de afkoop hoogstwaarschijnlijk een groter bedrag omvatten.
De terugkomst van de Locky-ransomware is zeker slecht nieuws voor de beveiligingsindustrie en eindgebruikers over de gehele wereld. De bende erachter is bewezen ambitieus genoeg om te proberen de huidige situatie op het gebied van afpersing te veranderen, dus het oppervlak van aanval zal waarschijnlijk groot zijn. Alhoewel er geen levensvatbare oplossing is die de versleutelde bestanden kan herstellen, zijn er op dit moment wel enkele hersteltechnieken die kunnen helpen.
Het uitroeien van deze ransomware kan effectief worden bereikt door middel van betrouware beveiligingssoftware. Door je aan het automatische opschoonproces te houden zorg je ervoor dat alle onderdelen van de besmetting grondig van je systeem worden gehaald.
Mogelijkheid 1: Gebruik bestandherstelsoftware
Het is belangrijk om te weten dat Locky Virus kopieën maakt van je bestanden en deze versleutelt. In the meanwhile, the original files get deleted. Er bestaan applicaties die verwijderde gegevens kunnen terughalen. Je kunt hulpmiddelen zoals Data Recovery Pro hiervoor gebruiken. De nieuwste versie van de ransomware in kwestie blijkt vellige verwijdering toe te passen met meerdere overschrijvingen, maar het is in elk geval de moeite waard om deze methode te proberen.
Mogelijkheid 2: Maak gebruik van back-ups
Ten eerste is dit een geweldige manier om je bestanden te herstellen. Het is echter alleen van toepassing als je back-ups hebt gemaakt van de informatie op je apparaat. In dat geval moet je zeker profiteren van je voorbedachtheid.
Mogelijkheid 3: Gebruik Schaduwvolumekopieën
Als je het nog niet wist, het besturingssysteem creëert zogenaamde Schaduwkopieën van alle bestanden, zolang Systeemherstel is geactiveerd op de computer. Omdat herstelpunten worden gecreëerd op bepaalde tijdstippen, worden ook momentopnamen van bestanden zoals ze er op dat moment uitzien gegenereerd. Weet wel dat deze methode niet garandeert dat de laatste versie van jouw bestanden wordt teruggezet. Het is echter zeker een poging waard. De methode is uit te voeren op twee manieren: handmatig en met het gebruik van een automatische oplossing. Laten we eerst eens kijken naar het handmatige proces.
Het dialoogvenster Eigenschappen voor willekeurige bestanden bevat een tabblad genaamd Vorige versies. Dat is waar de back-up-versies worden weergegeven en kunnen worden verhaald. Selecteer het laatste item en klik op Kopiëren als je wenst om het object te herstellen naar een nieuwe locatie die je kunt opgeven. Als je op de Terugzetten knop drukt zal het item worden hersteld naar de oorspronkelijke locatie.
Het bovenstaande proces kan worden geautomatiseerd met een tool genaamd ShadowExplorer. Het doet in principe hetzelfde (ophalen kopieën schaduwvolume), maar dan op een gemakkelijke manier. Download en installeer de applicatie dus, start het op en blader naar bestanden en mappen van vorige versies die u wilt herstellen. Om de klus af te maken, klik met de rechtermuisknop op één van de vermeldingen en selecteer de functie Export.
Nogmaals, het verwijderen van alleen de Locky ransomware leidt niet tot het ontcijferen van je persoonlijke bestanden. De gegevensherstelmethoden zoals hierboven beschreven kunnen wel of niet werken, maar de ransomware zelf behoort niet op je computer. Overigens wordt deze vaak meegegeven met andere malware, wat de reden is waarom het zeker zin heeft om je systeem regelmatig te scannen met automatische beveiligingssoftware om ervoor te zorgen dat er geen schadelijke overblijfselen van het virus op jouw system zijn achtergebleven, evenals bijbehorende bedreigingen binnen het Windows-register en andere locaties.
